Az elmúlt években több iránymutatás is napvilágot látott vállalatfelvásárlásokhoz, illetve eszközértékesítéshez kapcsolódó adatkezelési kérdések kapcsán (lásd pl. a német DSK 2024-es állásfoglalását az eszközértékesítéshez kapcsolódó adattovábbításról, illetve a NAIH kapcsolódó állásfoglalásait).
Legújabban pedig a Lichtensteini Adatvédelmi Hatóság (Datenschutzstelle Fürstentum Lichtenstein) adott rövid iránymutatást arra vonatkozóan, hogy milyen adatvédelmi szempontokat kell figyelembe venni egy átvilágítás (amelynek természetesen része a jogi, pénzügyi, megfelelőségi, adott esetben környezetvédelmi, stb. helyzet átvilágítása is) során, például egy vállalat vagy annak egyes részei eladása, illetve felvásárlása kapcsán.
1. Az átvilágítás célja, érintett adatkategóriák
Az átvilágítás (due diligence) célja, hogy megállapítsa egy vállalat (vagy annak egy bizonyos részének, pl. üzletág) értékét, illetve a felmerülő esetleges jogi, pénzügyi és egyéb kockázatokat, végső soron ezzel hozzájáruljon a vételár meghatározásához. Ennek érdekében alapos elemzést, vizsgálatot és értékelést kell végezni a vállalat minden értékes összetevőjéről. A folyamat természetéből adódik, hogy nagy mennyiségű adathalmazokat dolgoznak fel ebben a folyamatban, amelyek tipikusan személyes adatokat is magukban foglalnak.
A leggyakoribb személyes adat kategóriák, amelyek kezelése az átvilágítás során felmerülhet, a következők:
- munkavállalók adatai
- menedzsmentre (igazgatóság, FB, operatív vezetés) vonatkozó adatok
- ügyféladatok
- beszállítói adatok
Egy átvilágítás során gyakran kerülhet szembe egymással a minél alaposabb feltáráshoz, az adatok minél mélyebb megismeréséhez fűződő érdek, az érintett személyek személyes adatainak védelméhez fűződő érdekekkel.
2. Adatvédelmi kötelezettségek
A Lichtensteini Adatvédelmi Hatóság az alábbi főbb adatvédelmi kötelezettségekre hívja fel a figyelmet:
- Általánosságban az adatkezelőknek be kell tartaniuk az adattakarékosság és arányosság elvét az átvilágítás keretében (GDPR 5. cikk (1) bek. c) pont). Az adatok elérhetővé tétele csak annyiban történhet meg, ha ez elengedhetetlen a tervezett átvilágítás szempontjából, arányos az elérni kívánt céllal.
- Természetesen rendelkezni kell az adatkezeléshez megfelelő jogalappal is. Egy vállalat eladása, valamint a személyes adatok átadása esetén az átvilágítás keretében ez általában az eladó és a vevő jogos érdeke (GDPR 6. cikk (1) bek. (f) pont). A jogos érdek fennállásának megállapításához el kell végezni az ún. érdekmérlegelési tesztet. Ennek kimenetelétől függ az adatok adott célra történő kezelhetősége. Ha ez az előzetes érdekmérlegelés arra a következtetésre jut, hogy az átvilágítás céljából történő adatkezelés és átadás az adatok egyes kategóriái tekintetében nem feltétlenül szükséges, akkor megoldás lehet az adatok anonimizálása vagy összesítése (aggregálás), ha ez adott esetben lehetséges. Ha az érdekmérlegelés olyan eredményre vezet, miszerint az érintettek érdekei erősebbek az adatkezelő vagy harmadik fél adatkezeléshez fűződő érdekeinél, akkor alternatívaként felmerülhet más jogalap alkalmazása (pl. hozzájárulás).
- A Hatóság - ökölszabályként - felhívja arra a figyelmet, hogy ahol erre lehetőség van, kerülni vagy legalábbis minimalizálni kell a személyes adatok kezelését az átvilágítás kapcsán (adattakarékosság), akár a kezelendő adatok körének csökkentésével, az adatok aggregálásával (ahol lehetséges), akár anonimizálásával. Gyakran pusztán statisztikai adatok elegendőek a körültekintő átvilágításhoz, és az egyéni szintre bontott adatokra csak különösen indokolt esetekben van szükség.
Példa: Részletes információ az egyes munkavállalókról gyakran csak a felső vezetés vagy vezetői pozíciókban dolgozók tekintetében szükséges az átvilágítás részeként. A többi munkavállaló adatai pedig elegendő, ha statisztikai vagy anonimizált formában állnak rendelkezésre, például létszám, életkorstruktúra, képzettség, pozíciók stb. Általában az ilyen anonimizálás vagy összesített, statisztikai adatok létrehozása elegendő ahhoz, hogy kielégítse a vevő információs igényét (pl. az átlagéletkor, a munkaviszonyok átlagos időtartama vagy az átlagos bér).
- Ahol az anonimizálás nem lehetséges vagy indokolt, ott is megfontolandó minden esetben az álnevesítés alkalmazása. Fontos kiemelni, hogy az anonimizált adatokkal ellentétben az álnevesített adatok továbbra is személyes adatnak minősülnek a GDPR értelmében. Az álnevesítés azonban csökkentheti a kockázatokat, és például megkönnyítheti az érdekmérlegelés során a kedvező eredmény elérését. A Hatóság álláspontja alapján az álnevesítés segíthet abban is, hogy az átvilágítási céllal végzett adatkezelés összeegyeztethető legyen az eredeti adatkezelési céllal (GDPR 6. cikk 4. bek.).
A Hatóság felhívja arra is a figyelmet, hogy az eladó cég mérete is szerepet játszik a fentiek mérlegelése során. Például az alkalmazotti adatok anonimizálása vagy álnevesítés alkalmazása jóval nehezebb vagy egyenesen lehetetlen lehet, ha a munkavállalók létszáma alacsony, mert ebben az esetben, akár már név nélkül is egyértelműen beazonosítható, hogy kiről van szó (pl. csak egy olyan munkakör van). Ez persze nem lehet önmagában a tranzakció gátja. Ebben az esetben a vállalat mérete is az érdekmérlegelés tárgyává tehető és az érdekek kiegyensúlyozása mellett a jogos érdek fennállása - az eset össze körülményének gondos mérlegelése alapján - akár megállapítható lehet.
- Határokon átnyúló esetekben, ha minden résztvevő az EU (EGT) területén található, az adatvédelmi szint azonos. Ha egy fél harmadik országban található, akkor a GDPR V. fejezetének nemzetközi adattovábbításra vonatkozó szabályait is alkalmazni kell.
3. Vállalatfelvásárlás vagy eszközértékesítés
Az átvilágítás kedvező kimenetele esetén kerülhet sor egy vállalat vagy annak egyes részei eladására, illetve megvásárlására. Adatvédelmi jogi szempontjából releváns kérdés, hogy a tervezett vétel/eladás úgynevezett részvényügylet (a vállalat, mint jogi személyben történő teljes vagy részleges részesedésszerzés) vagy eszközügylet-e. Részvényügylet (részesedésszerzés) esetén csak a vállalat részvényeit (tulajdoni hányadát) ruházzák át, és a vállalat jogi személyként marad az adatkezelő, így az adatkezelő tekintetében nem történik érdemi változás (persze esetről esetre dől el, hogy az új tulajdonos megjelenése milyen változásokkal jár, de ez már egy másik történet).
Egy eszközügylet viszont nem a vállalat egészét, mint jogi entitást, hanem annak egyes eszközeit (pl. egy üzletághoz tartozó eszközöket vagy akár adatbázisokat) adják el egy új tulajdonosnak. Ez megváltoztatja az adatkezelő személyét is és esetleg más adatvédelmi szempontokra is rögtön jelentős hatással van (pl. változhat az adatkezelés célja, az adatkezelésben körzeműködők köre, stb.). Ebben az esetben az adatvédelmi kötelezettségeket alaposan át kell vizsgálni. Különös figyelmet kell fordítani az adatkezelések jogalapjaira, de az érintettek felé fennálló átláthatósági követelményekre is. Ezen túl, az esetlegesen tervezett ügyfél-átadás előtt az érintett ügyfeleket tájékoztatni kell, és biztosítani kell részükre, hogy lehetőséget kapniuk a tiltakozási joguk (opt-out) gyakorlására (például szerződés megszüntetése révén). Ezt követően az új tulajdonosnak (adatkezelőnek) tájékoztatnia kell az átruházásban érintett ügyfeleket a GDPR 13. és 14. cikke szerinti információkról. (Ahogy a fentiekben utaltam rá, az eszközügyletek tekintetében a német DSK, de Magyarországon a NAIH is több állásfoglalást és iránymutatást adott ki, amelyek részletesebben tárgyalják ezen ügyletekhez kapcsolódó adatvédelmi követelményeket.)
